Sennheiser se postaral o fatální chybu likvidující bezpečnost HTTPS komunikací.

Sennheiser se postaral o fatální chybu likvidující bezpečnost HTTPS komunikací. Všude kde jste použili jejich HeadSetup software se vám do systému dostal TLS root certifikát jehož privátní klíč je k dispozici přímo v software od Sennheiseru. Což případným útočníkům umožní generovat HTTPS certifikáty pro jakýkoliv web se jim bude zlíbit. Viz Sennheiser discloses monumental blunder that cripples HTTPS on PCs and Macs a Vulnerability Report – CVE-2018-17612. Pokud jste kdy tohle použili, tak pozor, ten podivný certifikát musíte odstranit.

key-extraction.png

Reklamy

Let’s Encrypt nabízí zdarma dostupné „*“ certifikáty

Let’s Encrypt nabízí zdarma dostupné „*“ certifikáty. Přibližuje se tak možnost mít bezpečnou šifrovanou podobu webu pro každý web na doméně. Viz Let’s Encrypt takes free “wildcard” certificates live a ACME v2 and Wildcard Certificate Support is Live

2018-03-17 10_41_53-Let's Encrypt - Free SSL_TLS Certificates.png

StartCom definitivně končí coby certifikační autorita (StartSSL)

StartCom definitivně končí (viz Termination of StartCom business) coby certifikační autorita (StartSSL). Z prohlížečů se pro nedůvěru ztratil už někdy před rokem, pro řadu zásadních přehmatů a akvizici WoSign certifikační autoritou (ve Čína mimochodem). Součástí přehmatů bylo vydávání neověřených certifikátů, včetně například certifikátu pro GitHub.com. Viz starší Problémové autority WoSign a StartCom se oddělí a vymění vedení

2017-12-03 12_03_32-StartSSL™ Certificates & Public Key Infrastructure.png

Symantec opět vydává nebezpečné HTTPS certifikáty

Symantec opět vydává nebezpečné HTTPS certifikáty. Nejde přitom o žádnou maličkost, přes stovku vydaných certifikátů nikdy neměli vydat, ohrožují bezpečnost a umožňují v řadě případů odposlouchávat https komunikaci. Viz Already on probation, Symantec issues more illegit HTTPS certificates a Misissued/Suspicious Symantec Certificates kde najdete příklad certifikátů vydaných pro example.com o které vlastník nežádal.

2017-02-05 10_40_26-crt.sh _ test.png

Mírně absurdní slovní kopaná mezi Let’s Encrypt a Comodo.

Mírně absurdní slovní kopaná mezi Let’s Encrypt a Comodo. Viz Defending Our Brand od Let’s Encrypt a poté diskuze v Shame on you, Comodo! kde najdete poněkud hysterickou reakci Comoda. Ale nenechte se zmást emocemi a počtem vykřičníků, některé z probíraných věcí jsou podstatné a zajímavé.

2016-06-24 07_42_03-Shame on you, Comodo! - General Discussion (off topic) Anything and everything..

Dell stále v problémech, objevil se druhý certifikát, který nemá v počítačích co dělat.

Dell stále v problémech, objevil se druhý certifikát, který nemá v počítačích co dělat. Ukázalo se, že další nezvaný certifikát do počítačů od Dellu pašuje ještě navíc Dell System Detect aplikace. Po eDellRoot je tu ještě DSDTestProvider a chytnete ho pokud navštívíte web podpory Dellu a použijete Detect Product.  Je stejně nebezpečný jako předchozí. Viz And then there were two: Another dangerous Dell root certificate discovered kde se navíc ještě dozvíte, že Dell System Detect se už dříve ukázal jako zásadní nebezpečná pomůcka umožňující vzdálenému utočníkovi napadnout počítač.

2015-11-23 18_28_43-Test for eDellRoot certificate